Cyberaanvallen: ze worden steeds geavanceerder én ze komen steeds vaker voor. Daarmee wordt een goede beveiliging van online platforms steeds belangrijker. In dit tweeluik over informatiebeveiliging, kijken we met IJsbrand van Prattenburg, Information Security Officer én Software Developer bij Procademy, naar de maatregelen die nodig zijn om online leren veilig te laten verlopen. En wat jij als eindgebruiker van SaaS tools in het algemeen en Procademy in het bijzonder, kunt doen om je data veilig te houden. In het eerste deel verkenden we daarom de organisatorische maatregelen bij Procademy én gaven we je een aantal concrete tips om zelf toe te passen. In dit tweede artikel zoomen we in op de technische maatregelen. Hoe helpt de techniek om ongewenste individuen buiten de deur van onze Learning Management Software te houden?
We zagen het al in ons eerste artikel: zonder een zorgvuldige eindgebruiker ben je voor wat betreft je informatiebeveiliging nergens. Maar de meest zorgvuldige gebruiker is op zijn of haar beurt ook weer nergens, als de software niet technisch optimaal is ingericht om security incidenten te voorkomen.
Bij Procademy is het bouwen van een solide beveiligingsinfrastructuur daarom geen eenmalige taak, maar eerder een continu proces, zo licht IJsbrand toe: "Technologie vormt de basis van onze beveiliging. Dat gaat om het continu updaten en finetunen van onze systemen om aanvallen af te slaan. Reactief als dat moet, maar vooral proactief als dat kan.” Procademy handelt daarin niet alleen, maar kan ook vertrouwen op de inzet van Combell, een betrouwbare hostingpartner: “Zij werken non-stop aan onze bescherming tegen cyberaanvallen en beschikken ook over de middelen om dat soort aanvallen op cruciale plekken in het netwerk te monitoren én te voorkomen.”
Terug naar de maatregelen bij Procademy zelf, waar er groot belang wordt gehecht aan een robuuste beveiliging van alle data in de Learning Managament Software. IJsbrand verduidelijkt: “Uitgangspunt is dat we bijzondere persoonsgegevens altijd versleutelen. Dat is echt een standaard manier van werken bij Procademy. Ook bieden we een SSL certificaat, om ervoor te zorgen dat de uitwisseling van data op een beschermde manier gebeurt.”
Deze aanpak zorgt ervoor dat gebruikersgegevens beschermd zijn, zelfs in het onwaarschijnlijke geval dat ze in verkeerde handen vallen. “Maar het liefst kijken we nog een stap eerder: want wat je niet hebt hoef je natuurlijk ook niet te beveiligen. Daarom zijn we bijvoorbeeld bezig met het uitfaseren van mails met attachments uit onze systemen. Voor je behaalde certificaat sturen we liever een link naar een pagina achter een login. Een mailtje kan altijd in een verkeerde inbox terechtkomen, door menselijk toedoen of door een fout in een systeem. Door dit soort data te minimaliseren, voorkomen we dus beveiligingsrisico’s.” schetst IJsbrand, om eraan toe te voegen: “Waarbij we natuurlijk wél altijd de gebruiksvriendelijkheid mee blijven wegen!”
Ook op het gebied van toegangsbeheer maakt Procademy duidelijke keuzes: “We hanteren een beveiliging waarbij je een wachtwoord per account slechts een beperkt aantal keren binnen een bepaalde tijd kunt invoeren, om het risico op een brute force aanval te minimaliseren.” De gevolgen van onrechtmatige toegang worden ook nog verder beperkt, doordat Procademy werkt met strikt gescheiden databases per opdrachtgever: “We isoleren alle data per klant in een eigen database. Daarmee is de impact van een incident per definitie vele malen kleiner, ook als het technische fout betreft.”
We zagen het al in ons eerste artikel: herleidbaarheid en traceerbaarheid van acties is essentieel bij informatiebeveiliging. IJsbrand verklaart: “Dan gaat dat niet alleen om zien wie en wanneer er handelingen verricht in de leeromgeving, maar ook de toegang tot informatie wordt nauwgezet bijgehouden. Je ziet dat al in de zorg, bij toegang tot dossiers. Maar de ISO- en NEN-normen schuiven ook op naar steeds meer rapportages op dit vlak. Ik denk dat SaaS-toepassingen een steeds uitgebreidere auditlog zullen gaan krijgen..
“Om de traceerbaarheid en herleidbaarheid van data en toegang naadloos aan te laten sluiten op Procademy, hebben we eigen monitoring ontwikkeld. Hiermee kunnen we niet alleen verschillende acties vastleggen en inzien, maar worden we ook actief geïnformeerd bij afwijkingen, problemen of opvallendheden. Inzichten die we in de toekomst ook steeds meer meer toegankelijk en inzichtelijk willen maken voor de beheerders.”
“In praktische zin verwacht ik met de komst van AI dat ik in de toekomst niet meer alle code hoef te schrijven. De rol van de softwareontwikkelaar zal veranderen naar een meer sturende rol met overzicht. Dus steeds wat verder weg van de uitvoering.” schetst IJsbrand de toekomst. “Sterker nog, we gebruiken vandaag de dag al AI als hulpmiddel om menselijke fouten en code kwaliteit te monitoren.”
Ook op beveiligingsvlak spot IJsbrand ook ontwikkelingen: “We zien een toename in het gebruik van passkeys. Waarbij toegang tot apps of websites wordt geregeld op basis van de combinatie van een publieke sleutel (aan de app of website kant) en een geheime sleutel (aan de kant van jouw device. Voordeel daarvan is dat als de publieke sleutel onverhoopt buit wordt gemaakt, dus bij een hack van je app of site, toegang nog steeds niet mogelijk is, omdat jij nog steeds alleen beschikt over je geheime sleutel. Dit principe is nog niet overal toepasbaar, maar neemt onmiskenbaar een vlucht.”
“Je moet beveiligingsprincipes goed verankeren in de geautomatiseerde processen rondom je code. Maar het betekent ook dat je vanuit een helikopterview ook beter kunt beschouwen: regel ik die beveiliging nog steeds wel goed?” De ontwikkelingen gaan snel, maar Procademy is optimaal ingericht om te kunnen blijven meebewegen. “Alleen al vanuit onze ISO-normeringen zijn we continu bezig met het inschatten van nieuwe risico’s en kansen voor ons platform. Met het bepalen van zinvolle acties om die risico's te beperken en de kansen te benutten. Ik kijk dus wat dat betreft met vertrouwen naar de toekomst.” glimlach IJsbrand tevreden.
Meer weten wat veilige Learning Management Software kan betekenen voor het behalen van de leerdoelen in jouw organisatie? Neem dan een vrijblijvend contact op voor een demo.
